Hornetsecurityは10月2日、「Ransomware Impact Report(ランサムウェア攻撃レポート)」の調査結果を発表した。その概要は以下のとおり。
今回の調査では、2025年にランサムウェア攻撃の被害を受けたと回答した企業は全体の24%にのぼり、2024年の18.6%から大幅に増加した。ここ数年、この割合は下降傾向が続いていたが、それに終止符が打たれた。
この割合の上昇は、サイバー犯罪者が手口を多様化し、新技術を活用し続けていることを示している。依然として攻撃全体の約半数(46%)は従来型の「フィッシング」による侵入だが、「侵害されたエンドポイント」(26%)や「搾取された認証情報」(25%)の悪用も増加し、主要な侵入経路となりつつある。一方でランサムウェア保険に加入している企業は全体の46%にとどまり、昨年の54.6%から大きく減少した。
また、直近12か月でフィッシング攻撃が全体として減少(2024年に52.3%だったものが2025年には46%へ減少)した。しかし、AIによって生成されたフィッシング攻撃が新たな脅威として台頭していると、回答したCISO(最高情報セキュリティ責任者)の77%が認識している。
こうした新たな脅威が出現している中、復旧能力の実装・拡充が効果を発揮している。ランサムウェア被害に遭った企業のうち、身代金を支払った割合は13%にとどまり、2024年の16.3%から減少した。この結果は、被害を想定した事前準備が企業にとって標準化しつつあることを示している。実際、82%の企業が災害復旧計画を策定し、62%が改ざん不可能なバックアップを導入している。
企業が特定のサイバーセキュリティ対策において前向きな取り組みを見せている一方で、セキュリティ研修は依然として不十分であることが今回の調査から判明した。調査対象の74%の企業がランサムウェア攻撃に備えて従業員教育を実施していると回答したが、セキュリティ責任者の42%は自社の研修が不十分または効果がないと認めている。
また、中小企業における「偽のコンプライアンス」(false compliance)の問題が浮き彫りになっている。これは、多くの場合チェックリスト形式の教育によって表面的なサイバーセキュリティ意識の基準だけを満たしている一方で、十分な進捗確認が欠如している状態を指す。その結果、フィッシングやソーシャルエンジニアリングといった高度な攻撃手法に対して、人為的なミスが引き続き発生しやすい要因となっている。
関連リンク